【技术实现步骤摘要】
基于web指纹信息的渗透方法、装置、设备及介质
[0001]本专利技术涉及自动测试
,特别涉及一种基于web指纹信息的渗透方法、装置、设备及介质。
技术介绍
[0002]通过网站的指纹信息来进行检索匹配已知存在的漏洞,并进行漏洞探测和漏洞利用,从而达到渗透网站的目的,获取网站权限或获取网站数据等。现有技术公开了一种基于web指纹信息的漏洞探测方法及装置,其中,该方法包括:确定渗透目标的web网站,其中,所述渗透目标为通过网络连接的网络系统;采集所述web网站的web指纹信息;使用所述web指纹信息探测所述渗透目标的对外漏洞。但是该方案指纹信息采集不够精确,范围不够大,导致匹配的漏洞不够准确。
技术实现思路
[0003]有鉴于此,本专利技术实施例提供了一种基于web指纹信息的渗透方法、装置、设备及介质,以解决现有技术中指纹信息采集不够精确,范围不够大,导致匹配的漏洞不够准确的技术问题。该方法包括:
[0004]根据网站的建站形式判断渗透目标,并针对每个渗透目标确定一种或多种指纹信息的渗透思路;
【技术保护点】
【技术特征摘要】
1.一种基于web指纹信息的渗透方法,其特征在于,包括以下步骤:根据网站的建站形式判断渗透目标,并针对每个所述渗透目标确定一种或多种指纹信息的渗透思路;对所述渗透目标的所有站点信息分析,确定指纹检测的对象;按照预设优先级顺序,根据所述指纹信息的渗透思路和所述指纹检测的对象,确定指纹信息,根据所述指纹信息进行渗透。2.如权利要求1所述的基于web指纹信息的渗透方法,其特征在于,所述指纹检测的对象包括以下任意项或任意组合:CMS信息、CDN信息和WAF信息;所述指纹检测的对象的所述预设优先级顺序由高到低为:CMS信息、CDN信息、WAF信息。3.如权利要求1所述的基于web指纹信息的渗透方法,其特征在于,所述建站形式包括以下任意项或任意组合:多目录站点、多端口站点、多域名站点以及多客户端站点;所述渗透目标包括以下任意项或任意组合:多目录站点的主目录站点和子目录站点;多端口站点的每个端口;多域名站点的网址;多客户端站点的PC端站点和移动端站点。4.如权利要求1所述的基于web指纹信息的渗透方法,其特征在于,对每个所述渗透目标确定一种或多种指纹信息的渗透思路,包括:对每个CMS确定一个渗透思路,所述渗透思路包括:同一网站的每个目录站点使用一种渗透方法;同一网站的每个端口使用一种渗透方法;同一网站的多个域名站点使用同一种渗透方法;同一网站的PC端和移动端使用不同的渗透方法。5.如权利要求1所述的基于web指纹信息的渗透方法,其特征在于,对渗透目标的所有站点信息分析,确定指纹检测的对象,包括:采用PING命令或者修改网页后缀提示反馈信息的方式,远程判断网站的服务器类型,取得服务器类型后,根据所述服务器类型通过nmap扫描取得服务器版本,根据所述服务器类型和所述服务器版本,将应用服务器、IP、域名信息及端口信息确定为指纹检测的对象;通过网站的所述服务器类型和所述服务器版本,判断网站的容器类型,根据所述容器类型判断Web服务器端的软件类型及软件版本,根据所述Web服务器端的软件类型及软件版本,解析所述Web服务器端的漏洞,根据解析出的所述漏洞,将Web服务器确定为指纹检测的对象;根据所述Web服务器端的软件类型及软件版本,将开发语言确定为指纹检测...
【专利技术属性】
技术研发人员:周嵩琛,李可,赵远杰,胡维,梁露露,陈幼雷,韩冰,李季,
申请(专利权)人:北京源堡科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。